2. L’adozione dei modelli di organizzazione,gestione e controllo
2.1 Le fasi di elaborazione del modello
2.1.7 Azioni di risk response in ottica 231
Una volta effettuata l’operazione di raffronto tra le aree aziendali a rischio reato e i controlli posti a salvaguardia di tali aree, è necessario andare a valutare l’eventuale
gap esistente tra l’attuale situazione dei controlli e quella preventivata; se esiste questo gap, bisogna andare ad adeguare le procedure necessarie a prevenire la manifestazione
dei rischi.
Tuttavia, il rischio non deve sempre e necessariamente essere visto in un’accezione negativa, in quanto le stesse “Linee guida di Confindustria” parlano di risk appetite. Concettualmente il termine risk appetite fa riferimento al livello di rischio che l’azienda intende assumersi per il perseguimento dei suoi obiettivi strategici33
Quando si parla di risk appetite, inevitabilmente si richiama il concetto di rischio- opportunità, in quanto, nella valutazione dei rischi non bisogna soltanto valutare gli effetti negativi che quest’ultimi potrebbero generare, bensì è necessario valutare anche le opportunità che taluni eventi possono decretare.
Chi all’interno dell’azienda si occupa dell’implementazione del Modello di organizzazione, gestione e controllo, deve quindi essere in grado di fissare un limite di tolleranza rispetto al rischio, che tenga conto sia dei rischi in un certo qual modo “dannosi”, sia dei rischi “virtuosi”.
Ogni investimento è caratterizzato da una parte di rischio che non si può eliminare, chiamata rischio sistematico.Quindi ogni opportunità, presenta comunque una certa percentuale di rischio.
Si parla di opportunity exploiting per fare riferimento alla possibilità di sfruttare le opportunità identificate, e quindi elevare al 100 % la probabilità che l’evento si manifesti.
Sono diverse le modalità con cui si cerca di aumentare la probabilità di manifestazione del rischio:
33
Risk Tollerance:spesso si fa estrema confusione tra i termini risk appetite e risk tollerance.In realtà il termine risk tollerance fa riferimento alla devianza massima dal risk appetite consentita;nel caso in cui sia consentita l’assunzione di rischio oltre l’obiettivo di rischio fissato,rimanendo comunque nell’ambito della soglia di tolleranza,è necessario porre in essere delle azioni correttive al fine di riportare il rischio assunto entro il limite preventivato.
1. Condividere:si cerca in pratica di dar vita a progetti comuni, e quindi di sfruttare, ad esempio, le risorse e le competenze di diversi soggetti in maniera tale da far aumentare la probabilità di accadimento dell’evento favorevole. Si pensi a tal proposito alle partnership o ai contratti di joint ventures.
2. Migliorare:Con questa azione si cerca, in pratica, di aumentare le probabilità di manifestazione di un evento favorevole, agendo direttamente sulle causa da cui dipende.
3. Ignorare:il management in pratica non pone in essere alcun tipo di azione, si limita tuttavia ad effettuare una continua attività di monitoraggio al fine di farsi trovare preparati qualora l’evento favorevole si manifesti.
Una volta che il professionista si è fatto un’idea chiara su quella che è la situazione dei rischi in azienda, sul loro impatto e sulla loro probabilità di manifestazione, è necessario predisporre adeguate risposte ai rischi identificati.
I rischi possono essere fronteggiati attraverso 4 azioni di risposta:
1. Evitare:tale azione significa sostanzialmente eliminare la causa del rischio, cioè eliminare l’attività cui è connesso il rischio.E’ l’ultima strada da percorrere, quando cioè nessuna delle altre possibilità ha dato gli esiti sperati. 2. Ridurre:consiste nel porre in essere delle azioni tali da ridurre il rischio;
l’obiettivo è quello di ridurre sia la probabilità che si verifichi l’evento dannoso, sia l’impatto negativo che tale evento dannoso può generare, riportando il rischio entro un livello ritenuto accettabile.
3. Trasferire:per mezzo di questa risposta, il management cerca non di eliminare il rischio, bensì di trasferirlo o condividerlo ad altri soggetti; si pensi ad esempio alla stipula delle polizze assicurative con cui l’azienda cerca di coprirsi da uno specifico rischio.
4. Accettare:l’accettazione del rischio implica che l’azienda non prende alcuna contromisura rispetto al rischio in quanto gli effetti del manifestarsi dell’evento rischioso vengono accettati dall’azienda.
Queste misure vengono intraprese quando la severità del rischio non supera il livello di tolleranza, per cui verranno poste in essere altre azioni di risposta al rischio, soltanto qualora l’avvenimento rischioso si manifesti.(Fig.8)
Figura 8.
Il ciclo di Deming:Un ulteriore approccio che merita trattazione è senz’altro quello
relativo al cosiddetto Ciclo PDCA, ossia Plan-Do-Check-Act.
Si parla a tale proposito di “Continuous risk management” per mettere in evidenza il fatto che si tratta di un approccio di monitoraggio e miglioramento continuo dei processi e di utilizzo ottimale delle risorse; questo modello parte dall’assunto che per raggiungere la massima qualità è necessaria una costante integrazione tra fase di pianificazione, fase di esecuzione del progetto precedentemente pianificato, fase di controllo dei risultati ed analisi degli eventuali scostamenti rispetto a quanto previsto, ed infine la fase di miglioramento necessaria a porre in essere adeguate azioni correttive al fine di raggiungere gli standard preventivati(Fig.9).
•Abbandonare •Rinunciare ad intraprendere •Factoring Pro-soluto
EVITARE
•Mitigare •Diversificare•Accantonare a fondi rischi •frazionare
RIDURRE
•Assicurare •Factoring Pro.solvendo •OutsourcingTRASFERIRE
•Pianificazione preventiva •MonitoraggioACCETTARE
Fig.9
Volendo riassumere quanto detto finora, sia il modello PDCA, sia il CoSO report che le linee guida di Confindustria spingono verso un processo di monitoraggio e gestione continua del rischio.